Forum PHP.pl > Ukrywanie plików

Pomoc - Szukaj - Użytkownicy - Kalendarz

tramer1991

28.08.2007, 12:13:27

Chodzi mi o ukrycie treści pliku php przed niezarejestrowanymi.
Czy idzie w jakiś sposób zatrzymać wysyłanie stronki do usera?

Skrypty php zatrzymuje metodą:

CODE

if($_SESSION['logged'])
{
    odmow_dostepu();
}

Działa fajnie jeśli stronka to samo PHP, ale jeśli zrobię np.

CODE

<?php 
if($_SESSION['logged'])
{
    odmow_dostepu();
}
?>
<html>
<body>
KOD HTML
</body>
</html>

To KOD HTML zostanie wysłany do przeglądarki.

Jeszcze jedno: czy komentarze w plikach php to bezpieczne miejsce na przechowywanie haseł? Pytam bo nie mam ochoty na MySQL, a tak to wystarczy wczytać plik z hasłami do tablicy, wyrzucić pierwszy i ostatni element, następnie każdą linię przez explode ( $tablica = explode("/", $liniaZpliku); ) i w $tablica[1] i $tablica[3] mam użytkownika i hasło, które poruwnuje z tymi z formularza.

CODE

<?php
/*user*//*password*/
/*user2*//*password2*/
/*user3*//*password3*/
?>

Znając moje szczęście to to co ja tu piszę da się zastąpić 1 prostą funkcją, a ja jak zwykle się męczę

Rafael6666

28.08.2007, 12:20:47

1. Zrób to tak:

[PHP] pobierz, plaintext 
<?php
//Na samej górze skryptu
if (!$_SESSION['logged']) {
die('Nie jesteś zarejestrowany!');
}
 
/*
Zawartość stronki
*/
 
?>
[PHP] pobierz, plaintext

2. Hasła w pliku możesz kodować do md5 i potem porównywać je z hasłami z formularza zakodowanymi w md5... Funkcja w php: md5...

Pozdrawiam

...

qqrq

28.08.2007, 12:23:26

Jeśli chodzi o bezpieczeństwo, to zwykły plik raczej przegrywa z bazą, więc przemyśl jeszcze raz kwestię używania MySQL-a

tramer1991

28.08.2007, 12:29:01

OGROMNE THX!!!z desperacji napisałem coś takiego

CODE

//wczytywanie pliku do stringa
function pokaz($adres)
{    
$php = true;
$doparsowania= "";


    if($_SESSION['logged'])
    {
        $dane = file($adres); 
        
        for($v=1; $v<sizeof($dane)-1; $v++)
        {
            //echo("$doparsowania <br><-parser");
            $nieznacznik=true;
            
            if(substr($dane[$v], 0, 2) =='/*')
            {
                eval($doparsowania);
                //echo("$v parsuje $doparsowania<br>");
                $doparsowania=false;
                $php=false;
                //echo("$v php=false;<br>");
                $nieznacznik=false;
            }
            if(substr($dane[$v], 0, 2) =='*/')
            {
                $php=true;
                //echo("$v php=true;<br>");
                $nieznacznik=false;
            }
            if($php AND $nieznacznik)
            {
                $doparsowania = "$doparsowania$dane[$v]";

                //echo("$v dodaje $dane[$v];<br>");
            }
            else
            {
                if($nieznacznik)
                {
                echo($dane[$v]);
                //echo("$v echo($dane[$v]);<br>");
                }
            }
            if($v==sizeof($dane)-2)
            {
                //echo("$v koniec pliku parsuje($doparsowania);<br>");
                eval($doparsowania);
            }
            
            

        }

    }    
}

to coś powoduje wyswietlenie komentarzy jako html, a php wyswietla funkcją eval.wiedziałem, że męcze się niepotrzebnie. kiedyś tak tez napisałem system bbcodes po swojemu, a potem doczytałem o podmienianiu fragmentów stringa...a wszystko przez braki neta...

do qqrq:ale hasła do MySQL tez są w pliku php i raczej nie ma ryzyka, że ktoś nie powołany je odczyta, a to jest komentarz w php, czyli chyba całkowicie pominięty przez parser podczas obróbki plik php i raczej nie ma prawa, żeby dostał sie do usera

do rafael: właśnie tak robie

kokogdaczek

28.08.2007, 16:26:44

Cytat(Rafael6666 @ 28.08.2007, 13:20:47 )

1. Zrób to tak:

[PHP] pobierz, plaintext 
<?php
//Na samej górze skryptu
if (!$_SESSION['logged']) {
die('Nie jesteś zarejestrowany!');
}
 
/*
Zawartość stronki
*/
 
?>
[PHP] pobierz, plaintext

Wrzucę coś od siebie ;-) Zamiast die(); możesz też skorzystać z exit;

qqrq

28.08.2007, 19:05:58

No tak, w przypadku pliku na serwerze zawsze istnieje niebezpieczeństwo jego ściągnięcia, ale jak dane siedzą w bazie, to zawsze nasz wirtualny hacker (czy jak on tam się nazywa) ma jednak troszkę dłuższą drogę, żeby nasze dane przejąć. W sumie różnica między przejęciem pliku z wypisanymi "na żywca" danymi a dostępem do bazy, w której one siedzą jest podobna jak przesyłanie danych GET-em i POST-em, no ale zawsze temu naszemu hipotetycznemu wrażemu elementowi kłody pod nogi....

Pozdrawiam!!

Istalacar

28.08.2007, 20:31:31

Witam

W ramach używania bazy:
Osobiście uważam że jeśli nie potrzebujesz dynamicznie zapisywać danych i odczytywać to nie potrzebujesz bazy i możesz to śmiało zapisywać kodzie lub w pliku tekstowym (oczywiście zrobionym tak by nie dało się go odczytać z "zewnątrz", pliki txt odpadają, w ramach bezpieczeństwa można wczytać plik który jest w folderze "pod" "public_html").

Pozdrawiam
Istalacar

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.